Vereinbarung zur Auftragsverarbeitung (AVV)

Stand: 07.02.2026

1. Parteien
(1) Verantwortlicher (“Kunde”): Das Unternehmen/Unternehmenskonto, das den Dienst nutzt. Der Kunde wird durch das in der Plattform hinterlegte Unternehmenskonto identifiziert (z.B. Account-E-Mail / interne User-ID).
(2) Auftragsverarbeiter (“Anbieter”): Der Betreiber der Ledian-Plattform (siehe Impressum).

2. Gegenstand und Dauer
2.1 Gegenstand ist die Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung und des Betriebs des “Website Web Widgets” sowie der zugehörigen Plattformfunktionen.
2.2 Die Dauer entspricht der Laufzeit des Vertrags über die Nutzung des Dienstes.

3. Art und Zweck der Verarbeitung
3.1 Art: Erheben, Speichern, Übermitteln, Bereitstellen von Kommunikationsinhalten, Protokollierung, Sicherheitsmaßnahmen, Auswertung von Nutzungskennzahlen (Token/Usage), Support-Fallbearbeitung.
3.2 Zweck: Bereitstellung des Chat-Widgets, Beantwortung von Anfragen, optional Lead-Erfassung, Missbrauchsprävention, technische Administration, Abrechnung.

4. Kategorien betroffener Personen / Daten
4.1 Betroffene: Website-Besucher des Kunden, Nutzerkonten des Kunden (Business-User), ggf. Mitarbeiter des Kunden.
4.2 Datenkategorien:
- Kommunikationsinhalte (Chat-Nachrichten, ggf. Kontaktdaten)
- technische Metadaten (Zeitstempel, Domain/Origin, User-Agent; ggf. IP in Logs)
- Abrechnungs-/Nutzungsdaten (Tokenanzahlen, Invoices, Subscription-IDs)
- Konfigurationsdaten (Website-URL, FAQ, Extra-Wissen)

5. Weisungsrecht
5.1 Der Anbieter verarbeitet Daten nur auf dokumentierte Weisung des Kunden, soweit dies nicht durch Gesetz abweichend vorgeschrieben ist.
5.2 Weisungen können über Konfiguration (Dashboard) sowie in Textform erteilt werden.

6. Pflichten des Auftragsverarbeiters
6.1 Vertraulichkeit: Personen, die Zugriff haben, sind zur Vertraulichkeit verpflichtet.
6.2 TOMs: Der Anbieter trifft geeignete technische und organisatorische Maßnahmen (Anlage 1).
6.3 Unterstützung: Der Anbieter unterstützt den Kunden bei Betroffenenrechten, Sicherheitsvorfällen und Datenschutz-Folgenabschätzungen, soweit erforderlich und angemessen.
6.4 Meldung von Verletzungen: Der Anbieter informiert den Kunden unverzüglich über Verletzungen des Schutzes personenbezogener Daten.

7. Unterauftragsverarbeiter (Subprozessoren)
7.1 Der Kunde erteilt die allgemeine Genehmigung zur Einschaltung von Subprozessoren.
7.2 Aktuelle Subprozessoren (je nach Nutzung):
- Hosting/Infra: Render (Backend, DB, Worker), Vercel (Frontend)
- Auth: Clerk
- Billing: Stripe
- AI: OpenAI
- Optional Integrationen (wenn vom Kunden aktiviert): Google APIs, Microsoft (Outlook), Cal.com, Twilio
7.3 Änderungen: Der Anbieter informiert den Kunden über wesentliche Änderungen; der Kunde kann aus wichtigem Grund widersprechen.

8. Drittlandtransfer
8.1 Soweit Subprozessoren in Drittländern verarbeiten (z.B. USA), erfolgen geeignete Garantien (z.B. Standardvertragsklauseln). Der Kunde akzeptiert, dass ohne Aktivierung bestimmter Funktionen ggf. kein Drittlandtransfer erfolgt.

9. Rückgabe/Löschung
9.1 Nach Vertragsende löscht oder gibt der Anbieter personenbezogene Daten nach Wahl des Kunden zurück, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
9.2 Backups werden im Rahmen regulärer Zyklen überschrieben.

10. Kontrollrechte / Audit
10.1 Der Kunde kann nach angemessener Vorankündigung Audits durchführen lassen, soweit dies verhältnismäßig ist und Sicherheitsanforderungen berücksichtigt.

Anlage 1 – TOMs (Kurzfassung, MVP)
- Zugangskontrolle: Rollen/Token-basierte Auth, Least-Privilege
- Transport: TLS/HTTPS
- Protokollierung: Security Logs, Rate Limits, Abuse Prevention
- Datentrennung: Mandantentrennung per Business-ID/Config-ID
- Verfügbarkeit: Managed Hosting, Monitoring, Backups (DB)
- Integrität: Change-Management, Deploy Pipelines
- Aufbewahrung: nur solange erforderlich, Löschkonzept nach Vertragsende